“互联网+”时代,在社会经济飞速发展的同时,非法获取、侵害公民个人信息的案件日益增多。根据刑法第253条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成犯罪。2017年3月15日全国人大通过的《中华人民共和国民法总则》(下称“民法总则”)第111条规定,公民的个人信息受法律保护,任何组织和个人不得非法收集、使用、加工、传输他人个人信息;不得非法买卖、提供或者公开他人个人信息。至此,在我国尚未出台公民个人信息保护法的前提下,关于个人信息保护之实体法律规制的民法、刑法保护的二元维度已经初步形成。但是,发生侵犯公民个人信息行为时如何适用法律,是普通民事侵权,还是构成犯罪,已成为一个亟须解决的问题。笔者认为,在民法、刑法二元界分上必须秉持“双阶层”判断标准,即通过综合考虑“行为+危害”与“数额+情节”来判断是普通民事侵权还是构成犯罪。
“行为+危害”是罪与非罪的判断基准。第一,行为是任何犯罪成立的共同构成要件要素,侵犯公民个人信息罪亦有其行为构成。侵犯公民个人信息罪的实行行为主要是出售、非法提供以及非法获取;而普通侵犯公民个人信息的行为是非法收集、使用、加工、传输和非法买卖、提供或者公开。二者除在非法提供以及非法买卖中的出售环节有交集外,其他都是分立的。所以,从行为上进行界分是基础性的判断标准,二者存在交集的行为也恰恰体现了法律规制的完整性。第二,在行为存在交集的情况下,要考虑行为的危害后果,后果的严重程度应成为判断罪与非罪的程度性判断标准。例如,将获得的公民个人信息出售或者非法提供给他人,被他人用以实施犯罪,造成被害人人身伤亡或者死亡的,应当以侵犯公民个人信息罪追究刑事责任。在共同犯罪的情况下,还需要考虑是否存在明知行为人要实施电信诈骗、网络犯罪、敲诈勒索、绑架等犯罪而非法提供公民个人信息的情况,如果存在这种情况,将构成相应犯罪的帮助犯。
“数额+情节”是罪与非罪的考量因素。首先,以个人信息的相关数量作为量化标准,最能直接反映侵犯公民个人信息罪的社会危害性,所以,综合考量出售、非法提供或者非法获取个人信息的次数、数量和牟利数额,制定具体的标准才是判断罪与非罪的量化标准。基于此,笔者认为,可以参考最高法、最高检《关于办理诈骗刑事案件具体应用法律若干问题的解释》相关规定,以具体的侵犯公民个人信息的数量、次数以及牟利数额确定处罚基准。至于应确定怎样的具体数额标准,需要理论界与实务界进一步研究。其次,根据刑法第253条之一第1款规定,“情节严重”的才构成犯罪。在侵犯公民个人信息罪中,“情节严重”作为一种概括性的定罪情节,要具体考量影响定罪的情节,不能单纯从个罪的角度出发,仍应当回到犯罪构成的逻辑框架当中,以其为基础和角度对个罪进行全方位的考察。由于我国刑法及司法解释关于犯罪“情节严重”“情节特别严重”认定标准的缺位,导致司法裁判认定“情节严重”时显得过于“随意”,尚未形成统一标准,需要出台相关司法解释予以明确。笔者认为,关于“情节严重”的认定标准,可以结合个人信息的数量、信息种类、牟利数额、信息用途、给被害人造成的损失等综合评判。
在“互联网+”时代,个人信息已经成为市场竞争的重要砝码,个人信息日益凸显的重要价值也迫切需要实体法律规定以及司法适用的日臻完善。但是基于刑法谦抑的精神,对行为的刑事处罚应限制在迫不得已的必要限度以内,同时也要兼顾已经造成以及将要造成的危害后果。
(作者:唐守东 单位:天津市人民检察院第一分院)
推荐